Informationssäkerhetsmål

Vanliga svenska titlar på den som samordnar informationssäkerhetsarbetet är informationssäkerhetssamordnare, informationssäkerhetsstrateg eller informationssäkerhets­koordinator. I MSB:s metodstöd för systematiskt informationssäkerhetsarbete har vi kallat den person som är ansvarig för samordningen av informations­säkerheten för CISO, en förkortning efter den engelska titeln chief information security officer. Vi har valt att använda CISO eftersom det är kort, koncist och gör texten lättare att läsa.

Tydliga mål underlättar för CISO

Att skapa tydliga informationssäkerhetsmål underlättar för den som är CISO. Målen är grundläggande för att ni internt ska kunna förstå, prioritera och genomföra sådana aktiviteter som leder till ett systematiskt och förbättrat informationssäkerhetsarbete.

Informationssäkerhetsmålen delas in i två typer: strategiska mål och kortsiktiga mål. De strategiska målen kan ni föra in i organisationens informationssäkerhetspolicy (se Utforma Styrdokument), medan de kortsiktiga målen ska föras in i er (vanligen årliga) handlingsplan (se Utforma Handlingsplan).

Vissa av målen, främst de strategiska, kan ni med fördel dela med era externa intressenter.

Analyserna är informationssäkerhetsmålens ingångsvärden

Resultaten från de analyser som ni har gjort i analysfasen är ingångsvärdena till de informationssäkerhetsmål ni tar fram.

Särskilt viktiga analyser är:

• Riskanalysen (se Analys Risk).
• Gap-analysen (se Analys gap) – eftersom denna konkret uttrycker vilka brister som finns, det vill säga gapet mellan era behov och nuläget.

Andra viktiga ingångsvärden för er organisation är befintliga mål och visioner som har bäring på informationssäkerhet, till exempel rörande annan säkerhet, kvalitet och it eller digitalisering.

Ta hänsyn till andra strategier, visioner och planer

Såväl era strategiska som kortsiktiga informationssäkerhetsmål bör harmonisera med sättet som ni vanligtvis arbetar med mål i er organisation – exempelvis genom strategier och årliga verksamhetsplaner.

Det är också viktigt att beakta era nationella och bransch- eller sektorspecifika visioner, strategier, mål och handlingsplaner. 

Informationssäkerhetsmål på lång sikt (3–5 år)

Strategiska informationssäkerhetsmål är långsiktiga mål, som ska uttrycka era interna mål och er viljeinriktning med den interna informationssäkerheten på lite längre sikt (inom cirka 3–5 år). De strategiska målen har ett viktigt symbolvärde, och visar i vilken riktning ni ska sträva.

De strategiska målen behöver inte vara mätbara, utan kan vara övergripande eller visionära. Givetvis kan de lika gärna vara både konkreta och mätbara, för så länge de är långsiktiga så är de strategiska. Exempel: ”Vår organisation ska vid (en viss tidpunkt) vara certifierad mot ISO-standarden SS-EN ISO/IEC 27001”.

Effektmål och resultatmål är strategiska mål

Det finns två sorters strategiska mål – effektmål och resultatmål:

• Effektmål: Anger vilken effekt ni eftersträvar på lång sikt genom ert informations­säkerhets­arbete. Dessa mål handlar om hur ni ska stödja och förbättra organisationen – ni kanske vill ha högre kvalitet, en stabilare produktion, efterleva rättsliga krav, få tryggare medarbetare eller ökat förtroende från kunder och så vidare. Exempel: ”Vårt mål är att stödja eller främja verksamheter i organisationen”.

• Resultatmål: Anger vilka resultat ni eftersträvar på lång sikt genom ert informations­säkerhets­arbete. Dessa mål handlar mer övergripande om hur ni som organisation långsiktigt ska arbeta med informationssäkerhet. Exempel: ”Vårt mål är att arbeta på ett systematiskt sätt, utifrån en viss standard eller med informationsklassning”.

Dokumentation av strategiska mål

De strategiska målen kan ni föra in i den informationssäkerhetspolicy som ledningen kommer att besluta (se Utforma Styrdokument). På detta sätt behöver ingen dokumentera eller fatta beslut om era strategiska mål separat.

Givetvis kan ni även sammanfatta era strategiska mål i fler dokument än informations­säkerhetspolicyn, till exempel i era övergripande säkerhetspolicyer eller strategier för it och digitalisering. Det är till och med fördelaktigt att målen för informationssäkerhet finns med som en naturlig del av flera olika strategiska dokument, så länge att alla strategiska mål i dokumenten harmoniserar med varandra. Det är av stor vikt att era interna mål inte motsäger eller står i konflikt med varandra, och detta bör du som CISO bevaka ur perspektivet informationssäkerhet.

Kommunikation av strategiska mål

Var noga med att sprida de strategiska målen internt och till era externa intressenter. Överväg även om det finns fördelar med att även sprida dem till allmänheten (till exempel via er externa webbplats).

Ibland kan man dock behöva hålla vissa strategiska mål konfidentiella. Exempel: Om ni vill hemlighålla ett certifieringsmål av konkurrensskäl, så ska ni undvika att ta med detta i några offentliga dokument. Informationssäkerhetspolicyn bör alltid kunna vara åtkomlig för allmänheten. För att säkerställa att ni når ut till de som berörs av era strategiska mål bör ni ta stöd av er kommunikationsavdelning eller motsvarande.

Undvik behovet av uppdatering av strategiska mål

Formulera era strategiska mål så att de får en giltighet på cirka 3–5 år. Ni ska med andra ord inte behöva omformulera era mål på grund av några enskilda, ibland oförutsedda, händelser.

Informationssäkerhetsmål på kort sikt (1–2 år)

Kortsiktiga informationssäkerhetsmål är mål som direkt eller indirekt uttrycker hur ni som organisation på cirka 1–2 år, ska arbeta för att uppnå era långsiktiga strategiska mål. De kortsiktiga målen ska vara konkreta och ha en tydlig koppling till de analyser som ni har gjort. Exempel: Hur ska ni eliminera eller reducera de risker och brister som ni kartlagt i gap-analysen, eller hur ska ni efterleva specifika rättsliga krav?

Ni kan formulera era kortsiktiga mål genom att uttrycka vilka specifika säkerhetsåtgärder som ska finnas på plats, att de ska fungera på ett visst sätt, eller att de ska användas av en angiven mängd användare (t.ex. i procent).

Ett kortsiktigt mål kan antingen omfatta en specifik säkerhetsåtgärd, en utvald del av en specifik säkerhetsåtgärd eller ett flertal olika säkerhetsåtgärder. De kortsiktiga målen kan även vara likställda med åtgärdsmålen i ISO-standarder som SS-EN ISO/IEC 27001 (bilaga A) och SS-EN ISO/IEC 27002.

Kortsiktiga mål enligt modellen Smart

Eftersom kortsiktiga mål är konkreta, så går det vanligtvis att utforma dem enligt vedertagna krav. Smart är ett exempel på en vanlig modell för just målformulering.

Smart står för:

• Specifikt: Det ska vara tydligt vad målet är.
• Mätbart: Det ska vara tydligt hur målet ska mätas.
• Accepterat: Av den som har ansvar för att uppfylla målet.
• Realistiskt: Målet ska vara möjligt att uppnå.
• Tidsatt: Det ska vara tydligt när målet ska vara uppfyllt.

Med andra ord ska era mål och aktiviteter vara så pass konkreta att ni kan bedöma om de uppfyllts eller inte efter den angivna tidsperioden – detta gör nämligen målen mätbara.

Årliga mål i handlingsplanen

För att uppnå era kortsiktiga mål så behöver ni omsätta dem i konkreta aktiviteter. Detta gör ni i en handlingsplan. I planen ska det synas vilka aktiviteter som kopplas till vilka mål. (se Utforma Handlingsplan). De mål som ni väljer att ta med i er handlingsplan kallas då för årliga mål.

Ni fattar således viktiga beslut om era årliga mål i samband med att ni skapar en handlingsplan. Detta ger er i sin tur ett underlag som gör det möjligt att se vilka kortsiktiga mål ni ska prioritera, och vilka mål ni ska försöka uppnå under nästkommande år genom olika aktiviteter.

Visuella målgrafer – för strukturering av kortsiktiga mål

De kortsiktiga informationssäkerhetsmål som ni vill uppnå inom cirka 1–2 år ska antingen direkt eller indirekt vara delmål till de långsiktiga strategiska mål som ni vill uppnå inom 3–5 år.

Det kan alltså förekomma beroenden mellan såväl kortsiktiga som strategiska mål, ibland kan ni behöva uppnå ett flertal kortsiktiga mål för att uppnå ett långsiktigt, och vice versa. Detta faktum kan ibland leda till komplexa förhållanden och så kallade målhierarkier, vilket kan göra det svårt att få överblick. Exempel: Vilka kortsiktiga mål måste ni uppnå för att kunna uppfylla ett långsiktigt mål?

Ett smidigt sätt att strukturera era interna mål är att skapa visuella målgrafer som tydliggör dessa samband. I Verktyg Utforma Målgraf finns det stöd för att göra målgrafer och exempel på hur sådana kan se ut.

En strukturering av organisationens mål kan hjälpa er att prioritera vilka aktiviteter som ni ska genomföra i nästkommande handlingsplan, eftersom ni genom att visualisera beroenden och dylikt gör det lättare att se vad ni behöver göra först.

Struktureringen av mål är viktig vid beslutsfattande

Om ni är noga med att strukturera era mål i målgrafer så kommer ni att se ett samband, eller ”en röd tråd”, mellan era övergripande strategiska mål och de enskilda aktiviteter som ni har beskrivit i handlingsplanen.

Därmed kan det vara effektivt att visa era målgrafer för era beslutsfattare, till exempel inför beslutandet av en kommande handlingsplan eller i samband med ledningens genomgång. Särskilt viktigt är det att visa ledningen att vissa aktiviteter på kort sikt är nödvändiga för att uppnå strategiska mål på lång sikt – inte minst genom att de finns uttryckta i er informations­säkerhets­policy.

Att skapa visuella målgrafer ska ni dock inte se som en nödvändighet – utan snarare som ett möjligt stöd eller verktyg i det fortlöpande arbetet att formulera och strukturera era informations­säkerhets­mål.

Måluppföljning av årliga mål i handlingsplanen

Gör årligen en måluppföljning, förslagsvis i samband med uppföljningen av den årliga handlingsplanen (se Utforma handlingsplan).

Eftersom de strategiska målen är beslutade av organisationens ledning, så behöver de få återkoppling – särskilt kring hur det interna arbetet med att nå målen fortgår. Ett lämpligt tillfälle för att lägga fram en sådan återkoppling är vid ledningens genomgång.

Strategiska mål är som sagt inte alltid mätbara, men för att kunna påvisa er progression mot de strategiska målen så kan ni använda en målgraf. Målgrafen visar tydligt ifall ni har lyckats uppnå de kortsiktiga mål som på lång sikt kommer att leda mot era strategiska mål.

Sammanfatta resultaten i strategiska dokument

För in och strukturera era:

• strategiska mål i informationssäkerhetspolicyn (se Utforma Styrdokument).
• årliga mål i handlingsplanen (se Utforma Handlingsplan).
• informationssäkerhetsmål i en målgraf (se Verktyg Utforma målgraf).